Руду под водой не возить

Вот, пишут в новостях:

Российские корабелы отказались от идеи переоборудования атомных ракетоносцев класса “Тайфун” для перевозки руды или нефти. Их использование для гражданских целей нецелесообразно, сообщил генеральный директор ОАО “ЦКБ морской техники “Рубин” Андрей Дьячков.

Так вот.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 6

  • 1. 21st December 2010, 17:21 // Читатель зашел в гости написал:

    до первого апреля вроде далеко…

  • 2. 21st December 2010, 19:38 // Читатель jno написал:

    Ну, подводные транспорты ещё когда проектировались…
    Даже танкодесантные пл – для Гренландии.
    Но конверсия тут – да, не катит.

  • 3. 23rd December 2010, 00:27 // Читатель VladimirN написал:

    Александр – простите, что мой вопрос не по теме, но пока комментариев мало, надеюсь не сильно намусорю…

    Вы в своих заметках о DNSsec не раз здесь писали, что после полного перехода на DNSsec-запросы, от корня до конечного пользователя, корневой администратор сможет, тееретически, по своему желанию отключать узлы интернета. И местные DNS-сервера-кэши у локальных провайдеров нам уже не помогут (в отличии от сегодняшнего дня).

    Я вроде бы понял общую суть объясненний, но прошу Вас, хотя бы в паре предложений, пошагово описать действия корневого администратора (VerySign ?), если он года через два-три (после полного и окончательного развертывания системы) захочет отключить от сети Ваш сайт. Точнее – перенаправить читателей вашего сайта на специальный сайт-клон с исправленным содержанием. Как он это сможет провернуть?

    P.S. Меня пока в этой воображаемой ситуации смущает два факта: разве локальные провайдеры не заметят, что измененения в DNS (после подмены вашего сайта), подписаны уже другим региональным ключем (я так понял – Verisign сделает себе ключ для ru-домена и подпишет им изменения, в которых вашего сайта не будет).

    Второе недоумение – легко ли Verisign в короткое время сгенерировать (и раздать по сети?) новый ключ для RU-домена, которым она будет подтверждать свои манипуляции внутри ru-домена? В Википедии по поводу генерации написано следующее:

    “…управление подписанием (корневой) зоны происходит под контролем представителей интернет-сообщества (Trusted community representative, TCR). Выбранные представители занимали должности крипто-офицеров (Crypto Officer, CO) и держателей частей ключа восстановления (Recovery key shareholder, RKSH). CO были вручены физические ключи, позволяющие активировать генерацию ключа ЭЦП ZSK, а RKSH владеют смарт-картами, содержащими части ключа (KSK), используемого внутри криптографического оборудования. … в соответствии с процедурами ICANN, CO будут привлекаться каждый раз при генерации ключа подписания зоны (ZSK), до 4 раз в год …” http://ru.wikipedia.org/wiki/Dnssec

    Вы думаете, перед тем, как вручить физические ключи для генерации ЭЦП ZSK, VerySign сделала себе пару дубликатов? Или как она сможет в час X обойтись без этих “хранителей ключа” ?

  • 4. 23rd December 2010, 14:12 // Александр Венедюхин ответил:

    Я писал по этой теме: https://dxdt.ru/2010/06/21/3218/

    Думаю подробный ответ опубликовать позже, потому что там есть ещё один интересный аспект, касающийся IP и BGP в национальном сегменте.

  • 5. 23rd December 2010, 16:04 // Читатель VladimirN написал:

    Спасибо за ответ, продолжу спрашивать…

    Вот по данной ссылке Вы пишете: “…Первый путь для перехвата: изменяется запись в корне, новая версия указывает на другие сервера имён. Часто можно услышать, что корневую зону поддерживает большое число корневых серверов (их ? 13), узлы которых распределены по всему миру и находятся под управлением разных компаний. Это так. Но файл корневой зоны все эти серверы получают из одного источника, со скрытого сервера, управляемого компанией VeriSign. …”

    Для подобной операции, после развертывания DNSsec, разве не надо будет привлекать тем самых крипто-офицеров, которым “были вручены физические ключи, позволяющие активировать генерацию ключа ЭЦП ZSK”. ?

    И в тексте по ссылке както обойден вопрос – что будет с ключем RU-домена при перехвате. Я так понимаю – его дубликата у VeriSign нет? Она может лишь сгенерировать новый-подложный, удостовеhить его как “подлинный” – и все станут верить записям с подложным ключем. После чего менять любые днс-записи в RU-сегменте, удостоверяя их как RU-администратор. Для публики все это будет незаметно (примерно сутки навереное, но больше и не надо) ?

    Так вот, разве замена старого настоящего RU-ключа новым псевдо-настоящим – не обставлена дополнительными процедурами, замедляющими замену и защищающими от подлога? Корневой ключ “генерировали” 6 часов и раздали под вспышки камер. А региональные что, просто молча закачиваются в нужные депозитарии ?

  • 6. 24th December 2010, 14:08 // Александр Венедюхин ответил:

    Для переподписывания зоны не нужно всякий раз генерировать новый ZSK. А ключи других доменов первого уровня в конечном итоге определяются содержанием корневой зоны, а не процедурами, используемыми для генерации и хранения этих ключей. По крайней мере, до тех пор, пока не введена распределённая валидация подписей, позволяющая для проверки, скажем, записей в зоне .ru использовать другой корневой ключ. DNSSEC такое тоже позволяет сделать. Но пока что всё от единого корня, потому что среди основных идей – закрепление имеющейся иерархии административного управления DNS.

    Это если в двух словах. Ну и нужно чтобы на клиенте появилась поддержка DNSSEC, пока её нет – все не так строго.